サイト サーバーとリモート サイト システムで TLS 1.2 を有効にする方法

Configuration Manager (現在のブランチ) に適用

Configuration Manager 環境で TLS 1.2 を有効にする場合は、まずクライアントに 対して TLS 1.2 を有効にします 。 次に、2 番目にサイト サーバーとリモート サイト システムで TLS 1.2 を有効にします。 最後に、サーバー側で古いプロトコルを無効にする可能性がある前に、クライアントからサイト システムへの通信をテストします。 サイト サーバーとリモート サイト システムで TLS 1.2 を有効にするには、次のタスクが必要です。

  • オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する
  • TLS 1.2 をサポートするように .NET Framework を更新および構成する
  • SQL Server コンポーネントとクライアント コンポーネントを更新する
  • Windows Server Update Services (WSUS) を更新する

特定の Configuration Manager の機能とシナリオの依存関係の詳細については、「TLS 1.2 の有効化について」を参照してください。

オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する

ほとんどの場合、プロトコルの使用は、オペレーティング システム レベル、フレームワークまたはプラットフォーム レベル、アプリケーション レベルの 3 つのレベルで制御されます。 TLS 1.2 は、オペレーティング システム レベルで既定で有効になっています。 TLS 1.2 を有効にするように .NET レジストリ値が設定されていることを確認し、環境がネットワーク上の TLS 1.2 を適切に使用していることを確認したら、 SChannel\Protocols レジストリ キーを編集して、セキュリティが低い古いプロトコルを無効にすることができます。 TLS 1.0 および 1.1 を無効にする方法の詳細については、「 Windows レジストリでの Schannel プロトコルの構成」を参照してください。

TLS 1.2 をサポートするように .NET Framework を更新および構成する

.NET のバージョンを確認する

まず、インストールされている .NET のバージョンを確認します。 詳細については、「インストールされている Microsoft .NET Framework のバージョンおよび Service Pack のレベルを確認する」を参照してください。

.NET 更新プログラムのインストール

強力な暗号化を有効にできるように、.NET 更新プログラムをインストールします。 .NET Framework の一部のバージョンでは、強力な暗号化を有効にするために更新が必要な場合があります。 次のガイドラインを使用してください:

  • NET Framework 4.6.2 以降では、TLS 1.1 と TLS 1.2 がサポートされています。 レジストリ設定を確認しますが、追加の変更は必要ありません。

    注:

    バージョン 2107 以降、Configuration Manager では、サイト サーバー、特定のサイト システム、クライアント、コンソールに Microsoft .NET Framework バージョン 4.6.2 が必要です。 環境で可能であれば、最新バージョンの .NET バージョン 4.8 をインストールします。

  • TLS 1.1 と TLS 1.2 をサポートするように、NET Framework 4.6 以前のバージョンを更新します。 詳細については、「.NET Framework のバージョンおよび依存関係」を参照してください。

  • Windows 8.1、Windows Server 2012 R2、または Windows Server 2012 で .NET Framework 4.5.1 または 4.5.2 を使用している場合は、TLS 1.2 を適切に有効にするために、.Net Framework 4.5.1 および 4.5.2 の最新のセキュリティ更新プログラムをインストールすることを強くお勧めします。

    参考までに、TLS 1.2 は最初に .Net Framework 4.5.1 および 4.5.2 に導入され、次の修正プログラム ロールアップが含まれています。

強力な暗号化を構成する

強力な暗号化をサポートするように .NET Framework を構成します。 SchUseStrongCrypto レジストリ設定を [DWORD:00000001] に設定します。 この値は RC4 ストリーム暗号を無効にし、再起動が必要です。 この設定の詳細については、「 Microsoft セキュリティ アドバイザリ 296038」を参照してください。

TLS 1.2 対応システムとネットワーク経由で通信するすべてのコンピューターで、次のレジストリ キーを設定してください。 たとえば、Configuration Manager クライアント、サイト サーバーにインストールされていないリモート サイト システムの役割、サイト サーバー自体などです。

32 ビット OS で実行されている 32 ビット アプリケーションと、64 ビット OS で実行されている 64 ビット アプリケーションの場合は、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64 ビット OS で実行されている 32 ビット アプリケーションの場合、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

注:

SchUseStrongCrypto設定では、.NET で TLS 1.1 と TLS 1.2 を使用できます。 SystemDefaultTlsVersions設定では、.NET で OS 構成を使用できます。 詳細については、「 .NET Framework を使用した TLS のベスト プラクティス」を参照してください。

SQL Server コンポーネントとクライアント コンポーネントを更新する

Microsoft SQL Server 2016 以降では、TLS 1.1 と TLS 1.2 がサポートされています。 以前のバージョンと依存ライブラリでは、更新が必要な場合があります。 詳細については、「 KB 3135244: Microsoft SQL Server の TLS 1.2 サポート」を参照してください。

セカンダリ サイト サーバーでは、少なくとも SQL Server 2016 Express With Service Pack 2 (13.2.50.26) 以降を使用する必要があります。

SQL Server Native Client

注:

KB 3135244 では、SQL Server クライアント コンポーネントの要件についても説明します。

また、SQL Server ネイティブ クライアントを少なくともバージョン SQL Server 2012 SP4 (11.*.7001.0) に更新してください。 この要件は前提条件 のチェック (警告) です

Configuration Manager では、次のサイト システムの役割で SQL Server ネイティブ クライアントを使用します。

  • サイト データベース サーバー
  • サイト サーバー: 中央管理サイト、プライマリ サイト、またはセカンダリ サイト
  • 管理ポイント
  • デバイス管理ポイント
  • 状態移行ポイント
  • SMS プロバイダー
  • ソフトウェアの更新ポイント
  • マルチキャスト対応配布ポイント
  • 資産インテリジェンス更新サービス ポイント
  • Reporting Services ポイント
  • 登録ポイント
  • Endpoint Protection ポイント
  • サービス接続ポイント
  • 証明書登録ポイント
  • データ ウェアハウス サービス ポイント

Automanage Machine Configuration と Azure Arc を使用して TLS 1.2 を大規模に有効にする

Azure、オンプレミス、またはマルチクラウド環境で実行されているマシンに対して、クライアントとサーバーの両方で TLS 1.2 を自動的に構成します。 マシン間での TLS 1.2 の構成を開始するには、 Azure Arc 対応サーバーを使用して TLS 1.2 を Azure に接続します。このサーバーには、既定でコンピューター構成の前提条件が付属しています。 接続されると、Azure Portal で組み込みのポリシー定義をデプロイすることで、ポイント アンド クリックの簡易性で TLS 1.2 を構成できます。Windows サーバーにセキュリティで保護された通信プロトコル (TLS 1.1 または TLS 1.2) を構成します。 ポリシー スコープは、サブスクリプション、リソース グループ、または管理グループ レベルで割り当てることができ、ポリシー定義からリソースを除外することもできます。

構成が割り当てられた後、リソースのコンプライアンス状態を詳細に表示するには、[ゲストの割り当て] ページに移動し、影響を受けるリソースにスコープを設定します。

詳細な詳細なチュートリアルについては、「 Azure Arc と Automanage Machine Configuration を使用してサーバー TLS プロトコルを一貫してアップグレードする」を参照してください。

Windows Server Update Services (WSUS) を更新する

TLS 1.2 は、 現在サポートされているすべてのバージョン の Windows Server で WSUS に対して既定でサポートされています。

以前のバージョンの WSUS で TLS 1.2 をサポートするには、WSUS サーバーに次の更新プログラムをインストールします。

  • Windows Server 2012 を実行している WSUS サーバーの場合は、 更新プログラムの4022721 以降のロールアップ更新プログラムをインストールします。

  • Windows Server 2012 R2 を実行している WSUS サーバーの場合は、 更新プログラムの4022720 以降のロールアップ更新プログラムをインストールします。

注:

2023 年 10 月 10 日、Windows Server 2012 および Windows Server 2012 R2 は拡張サポート更新プログラム フェーズに入ります。 Microsoft は、これらのオペレーティング システムにインストールされている Configuration Manager サイト サーバーまたはロールのサポートを提供しなくなります。 詳細については、「 拡張セキュリティ更新プログラムと Configuration Manager」を参照してください。

次の手順